Auf dieser Seite werden die verschiedenen Optionen zum Herstellen einer Verbindung zu einem Managed Service for Microsoft Active Directory-Domain beschrieben.
Verbindung zu einer Domain mit Windows-VM über RDP herstellen
Sie können mit Remote Desktop Protocol (RDP) eine Verbindung zu Ihrer Domain herstellen. Aus Sicherheitsgründen können Sie RDP nicht direkt für die Verbindung mit einem Domaincontroller verwenden. Sie können stattdessen mit RDP eine Verbindung zu einer Compute Engine-Instanz herstellen und dann die standardmäßigen AD-Verwaltungstools nutzen, um mit Ihrer AD-Domain zu arbeiten.
Nachdem Sie Ihre Windows-VM der Domain beigetreten haben, können Sie RDP in der Google Cloud Console verwenden, um eine Verbindung zu Ihrer domänenverbundenen Windows-VM herzustellen und Ihre Active Directory-Objekte zu verwalten.
Fehlerbehebung bei RDP-Verbindungen
Wenn Sie Probleme beim Herstellen einer Verbindung zu Ihrer Windows-Instanz mit RDP haben, finden Sie unter Fehlerbehebung bei RDP Tipps und Ansätze zur Fehlerbehebung und Behebung häufiger RDP-Probleme.
Kerberos-Probleme beheben
Wenn Sie versuchen, Kerberos für Ihre RDP-Verbindung zu verwenden, diese aber auf NTLM zurückfällt, erfüllt Ihre Konfiguration möglicherweise nicht die erforderlichen Anforderungen.
Für den RDP-Status einer Managed Microsoft AD-VM mit Kerberos benötigt der RDP-Client ein Ticket für den Zielserver. Um dieses Ticket zu erhalten, muss der Kunde in der Lage sein:
- Den Service-Principal-Name (SPN) des Servers zu bestimmen. Bei RDP wird der SPN aus dem DNS-Namen des Servers abgeleitet.
- Den Domaincontroller der Domain zu kontaktieren, mit der die Workstation des Clients verbunden ist, und ein Ticket für diesen SPN anzufordern.
Damit der Client den SPN ermitteln kann, fügen Sie dem Computerobjekt des Servers in AD einen IP-basierten SPN hinzu.
Damit der Client den richtigen Domaincontroller finden kann, müssen Sie einen der folgenden Schritte ausführen:
- Erstellen Sie eine Vertrauensstellung mit Ihrer lokalen AD-Domain. Weitere Informationen zum Erstellen und Verwalten von Vertrauensstellungen
- Stellen Sie eine Verbindung von einer mit einer Domain verbundenen Arbeitsstation über Cloud VPN oder Cloud Interconnect her.
Verbindung zu einer Domain mit Linux-VM herstellen
In diesem Abschnitt werden einige der Open-Source-Optionen zum Verwalten der Active Directory-Interaktion mit Linux aufgeführt. Linux-VM mit einer Managed Microsoft AD-Domain verbinden
System Security Services Daemon (SSSD), die direkt mit Active Directory verbunden sind
Sie können System Security Services Daemon (SSSD) verwenden, um die Active Directory-Interaktion zu verwalten. Beachten Sie, dass SSSD keine gesamtstrukturübergreifenden Vertrauensstellungen unterstützt. Mehr über SSSD erfahren
Winbind
Sie können Winbind verwenden, um die Active Directory-Interaktion zu verwalten. Zur Interaktion mit Active Directory wird Microsoft Remote Procedure Calls (MSRPCs) verwendet, was einem Windows-Client ähnelt. Winbind unterstützt gesamtstrukturübergreifende Vertrauensstellungen. Winbind kennenlernen
OpenLDAP
OpenLDAP ist eine Suite von LDAP-Anwendungen. Einige Drittanbieter haben proprietäre Active Directory-Interaktionstools entwickelt, die auf OpenLDAP basieren. Mehr über OpenLDAP erfahren
Verbindung zu einer Domain über Vertrauensstellung herstellen
Wenn Sie eine Vertrauensstellung zwischen Ihrer lokalen Domain und Ihrer verwalteten Microsoft AD-Domain erstellen, können Sie auf Ihre AD-Ressourcen in Google Cloud zugreifen, als ob sie sich in Ihrer lokalen Domain befinden. Erfahren Sie, wie Sie Vertrauensstellungen in verwaltetem Microsoft AD erstellen und verwalten.
Verbindung zu einer Domain mit Hybridkonnektivität herstellen
Sie können mit Google Cloud Hybrid Connectivity-Produkten wie Cloud VPN oder Cloud Interconnect eine Verbindung zu Ihrer Managed Microsoft AD-Domain herstellen. Sie können die Verbindung von Ihrem lokalen oder einem anderen Netzwerk zu einem autorisierten Netzwerk von Managed Microsoft AD-Domains konfigurieren.
Hinweis
Verbinden Sie Ihre Windows-VM oder Ihre Linux-VM mit der Managed Microsoft AD-Domain.
Verbindung über den Domainnamen herstellen
Wir empfehlen, die Verbindung zu einem Domaincontroller mit ihrem Domainnamen statt mit ihrer IP-Adresse herzustellen, da Managed Microsoft AD keine statischen IP-Adressen bereitstellt. Anhand des Domainnamens kann der Active Directory-DC-Locator-Prozess den Domaincontroller für Sie ermitteln, selbst wenn sich die IP-Adresse geändert hat.
IP-Adresse für die DNS-Auflösung verwenden
Wenn Sie die IP-Adresse verwenden, um eine Verbindung zu einer Domain herzustellen, können Sie eine eingehende DNS-Richtlinie in Ihrem VPC-Netzwerk erstellen, damit diese die gleichen Namensauflösungsdienste verwenden kann, die Managed Microsoft AD verwendet. Managed Microsoft AD verwendet Cloud DNS, um die Namensauflösung für Managed Microsoft AD-Domains mithilfe von Cloud DNS-Peering bereitzustellen.
Um die eingehende DNS-Richtlinie zu verwenden, müssen Sie Ihre lokalen Systeme oder Nameserver so konfigurieren, dass DNS-Abfragen an die Proxy-IP-Adresse weitergeleitet werden, die sich in derselben Region befinden wie der Cloud VPN-Tunnel oder VLAN-Anhang, die Ihr lokales Netzwerk mit Ihrem VPC-Netzwerk verbinden. Weitere Informationen zum Erstellen einer Richtlinie für eingehende Server
Peerings verwenden
Managed Microsoft AD unterstützt kein verschachteltes Peering, sodass nur Netzwerke, die direkt für Active Directory autorisiert sind, auf die Domain zugreifen können. Peers des autorisierten Netzwerks können die Managed Microsoft AD-Domain nicht erreichen.